ISO 22342:2023

NORME ISO
INTERNATIONALE 22342
Première édition
2023-04
Sécurité et résilience — Sûreté
préventive — Lignes directrices pour
l'élaboration d'un plan de sûreté
destiné à un organisme
Security and resilience — Protective security — Guidelines for the
development of a security plan for an organization
Numéro de référence
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO 2023
Tous droits réservés. Sauf prescription différente ou nécessité dans le contexte de sa mise en œuvre, aucune partie de cette
publication ne peut être reproduite ni utilisée sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique,
y compris la photocopie, ou la diffusion sur l’internet ou sur un intranet, sans autorisation écrite préalable. Une autorisation peut
être demandée à l’ISO à l’adresse ci-après ou au comité membre de l’ISO dans le pays du demandeur.
ISO copyright office
Case postale 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Genève
Tél.: +41 22 749 01 11
E-mail: copyright@iso.org
Web: www.iso.org
Publié en Suisse
ii
Sommaire Page
Avant-propos .iv
Introduction .v
1 Domaine d’application . 1
2 Références normatives .1
3 Termes et définitions . 1
4 Planification de la sûreté . 2
5 Composants du plan de sûreté . 2
5.1 Généralités . 2
5.2 Gouvernance . 2
5.2.1 Généralités . 2
5.2.2 Objectifs de sûreté . 3
5.2.3 Domaine d’application du plan de sûreté . 3
5.2.4 Direction . 3
5.2.5 Aspect réglementaire et juridique . 4
5.2.6 Rôles, imputabilités et responsabilités . 4
5.2.7 Communication. 4
5.2.8 Informations documentées . 4
5.2.9 Établissement des rapports . 5
5.2.10 Évaluation . 5
5.2.11 Amélioration continue . 5
5.3 Management du risque . 5
5.3.1 Généralités . 5
5.3.2 Domaine d’application, contexte et critères du risque de sûreté . 6
5.3.3 Appréciation . 6
5.3.4 Traitement . 6
5.3.5 Niveaux d’acceptation du risque de sûreté résiduel . 7
5.3.6 Communication et consultation . 7
5.3.7 Surveillance et revue . 7
5.3.8 Gestion et enregistrement de la documentation . 7
5.4 Contrôles de sûreté . 8
5.4.1 Généralités . 8
5.4.2 Niveaux de protection . 8
5.4.3 Procédures relatives aux contrôles de sûreté . 8
5.4.4 Contrôles et traitements au niveau opérationnel. 8
5.4.5 Planification d’urgence pour les situations peu vraisemblables et
inattendues . 9
5.4.6 Calendriers des activités de sûreté . 10
5.5 Processus relatif aux contrôles de sûreté . 10
5.5.1 Généralités . 10
5.5.2 Sélection . 10
5.5.3 Implémentation, essai et évaluation . 10
5.5.4 Activités de surveillance . 10
5.5.5 Détermination de l’efficacité . 11
Bibliographie .12
iii
Avant-propos
L’ISO (Organisation internationale de normalisation) est une fédération mondiale d’organismes
nationaux de normalisation (comités membres de l’ISO). L’élaboration des Normes internationales est
en général confiée aux comités techniques de l’ISO. Chaque comité membre intéressé par une étude
a le droit de faire partie du comité technique créé à cet effet. Les organisations internationales,
gouvernementales et non gouvernementales, en liaison avec l’ISO participent également aux travaux.
L’ISO collabore étroitement avec la Commission électrotechnique internationale (IEC) en ce qui
concerne la normalisation électrotechnique.
Les procédures utilisées pour élaborer le présent document et celles destinées à sa mise à jour sont
décrites dans les Directives ISO/IEC, Partie 1. Il convient, en particulier, de prendre note des différents
critères d’approbation requis pour les différents types de documents ISO. Le présent document a été
rédigé conformément aux règles de rédaction données dans les Directives ISO/IEC, Partie 2 (voir
www.iso.org/directives).
L’ISO attire l’attention sur le fait que la mise en application du présent document peut entraîner
l’utilisation d’un ou de plusieurs brevets. L’ISO ne prend pas position quant à la preuve, à la validité
et à l’applicabilité de tout droit de brevet revendiqué à cet égard. À la date de publication du présent
document, l’ISO n’avait pas reçu notification qu’un ou plusieurs brevets pouvaient être nécessaires à sa
mise en application. Toutefois, il y a lieu d’avertir les responsables de la mise en application du présent
document que des informations plus récentes sont susceptibles de figurer dans la base de données de
brevets, disponible à l’adresse www.iso.org/brevets. L’ISO ne saurait être tenue pour responsable de ne
pas avoir identifié tout ou partie de tels droits de propriété.
Les appellations commerciales éventuellement mentionnées dans le présent document sont données
pour information, par souci de commodité, à l’intention des utilisateurs et ne sauraient constituer un
engagement.
Pour une explication de la nature volontaire des normes, la signification des termes et expressions
spécifiques de l’ISO liés à l’évaluation de la conformité, ou pour toute information au sujet de l’adhésion
de l’ISO aux principes de l’Organisation mondiale du commerce (OMC) concernant les obstacles
techniques au commerce (OTC), voir www.iso.org/avant-propos.
Le présent document a été élaboré par le comité technique ISO/TC 292, Sécurité et résilience.
Il convient que l’utilisateur adresse tout retour d’information ou toute question concernant le présent
document à l’organisme national de normalisation de son pays. Une liste exhaustive desdits organismes
se trouve à l’adresse www.iso.org/fr/members.html.
iv
Introduction
Tous les organismes cherchent à gérer les risques de sûreté dans leur environnement afin d’assurer des
niveaux de protection appropriés de leurs actifs, de préserver les intérêts des parties intéressées et
d’atteindre leurs objectifs.
Les organismes ont parfois besoin d’établir et de tenir à jour une approche structurée de la sûreté.
L’objectif d’un plan de sûreté est d’assurer que toutes les actions et tous les contrôles appropriés sont en
place pour protéger l’organisme contre les menaces à sa sécurité.
Le présent document donne des lignes directrices pour l’implémentation d’un plan de sûreté dont la
structure inclut les recommandations pour une architecture de sûreté préventive. Ainsi, le plan de
sûreté peut être intégré efficacement dans un système de management existant.
L’intégration des processus de management du risque de l’organisme au modèle de plan de sûreté,
contribue à une gestion appropriée de la sûreté. Ce plan de sûreté est conçu pour attribuer l’imputabilité
et la responsabilité de même pour guider la mise en œuvre des contrôles afin de protéger l’organisme
contre les risques de sûreté.
Une approche planifiée, adaptative et agile permet d’apporter des solutions à des situations non
anticipées. Les menaces pour la sûreté sont dynamiques et souvent inattendues; par conséquent, le
présent document introduit des éléments à la fois techniques et humains pour une approche planifiée
adaptative et agile.
L’objet de ce document est de fournir les éléments fondamentaux nécessaires pour améliorer et soutenir
la protection d’un organisme.
v
NORME INTERNATIONALE ISO 22342:2023(F)
Sécurité et résilience — Sûreté préventive — Lignes
directrices pour l'élaboration d'un plan de sûreté destiné à
un organisme
1 Domaine d’application
Le présent document fournit des recommandations pour l’élaboration et la tenue à jour des plans de
sûreté.
Le plan de sûreté décrit comment un organisme établit une planification de la sûreté efficace et
comment il peut intégrer la sûreté dans les pratiques organisationnelles de management du risque.
Le présent document s’applique à tous les organismes, quels que soient leur type, leur taille et leur
nature, qu’ils appartiennent au secteur privé, au secteur public ou au secteur non lucratif, qui souhaitent
élaborer des plans de sûreté efficaces de manière cohérente.
Le présent document s’applique à tout organisme qui souhaite implémenter des mesures destinées à
protéger ses actifs contre les actes de malveillance et à atténuer les risques associés.
Le présent document ne fournit pas de critères spécifiques permettant d’identifier la nécessité
d’implémenter ou d’améliorer les mesures de prévention et de protection contre les actes de malveillance.
Il ne s’applique ni aux services ni aux opérations fournis par les sociétés de sécurité privées.
2 Références normatives
Les documents suivants sont cités dans le texte de sorte qu’ils constituent, pour tout ou partie de leur
contenu, des exigences du présent document. Pour les références datées, seule l’édition citée s’applique.
Pour les références non datées, la dernière édition du document de référence s'applique (y compris les
éventuels amendements).
ISO 22300, Sécurité et résilience — Vocabulaire
ISO 31000, Management du risque — Lignes directrices
3 Termes et définitions
Pour les besoins du présent document, les termes et les définitions de l’ISO 22300 et l’ISO 31000 ainsi
que les suivants s’appliquent.
L’ISO et l’IEC tiennent à jour des bases de données terminologiques destinées à être utilisées en
normalisation, consultables aux adresses suivantes:
— ISO Online browsing platform: disponible à l’adresse https:// www .iso .org/ obp
— IEC Electropedia: disponible à l’adresse https:// www .electropedia .org/
3.1
besoin d’en connaître
besoin d’avoir accès à des informations spécifiques sur la base d’une exigence fonctionnelle ou
opérationnelle, impliquant un processus actif de détermination du niveau de sûreté des informations,
et des droits d’accès à ces informations
4 Planification de la sûreté
Il convient que l’organisme crée, implémente et tienne à jour un plan de sûreté pour gérer les activités
sur la base d’une analyse du risque de sûreté en phase avec sa mission.
Il convient que le plan de sûreté:
— soit propre à chaque organisme;
— soit basé sur des stratégies et des objectifs de sûreté concernant les menaces et les vulnérabilités;
— soit passé en revue et approuvé officiellement par la direction avant son implémentation;
— anticipe la nécessité de faire face à long terme à des incidents relatifs à la sûreté, en intégrant des
procédures spéciales et devrait en outre prévoir la nécessité de structures adaptatives afin d’être
en mesure de faire face de façon adéquate à pareils événements perturbateurs.
L’organisme peut utiliser un unique plan de sûreté ou un plan de sûreté complet et global comportant
des plans plus détaillés.
NOTE Un plan de sûreté unique n’est pas toujours réalisable en raison de la taille de l’organisme ou de la
complexité de son activité.
5 Composants du plan de sûreté
5.1 Généralités
Le présent article fournit des recommandations sur la façon d’élaborer les différents composants d’un
plan de sûreté. Il se compose des paragraphes suivants, qui fournissent des recommandations détaillées
relatives:
— à la gouvernance (voir 5.2);
— au management du risque (voir 5.3);
— aux contrôles de sûreté (voir 5.4);
— au processus relatif aux contrôles de sûreté (voir 5.5).
NOTE L’ISO 28000:2022, 8.6 contient également des informations concernant le contenu d’un plan de sûreté.
5.2 Gouvernance
5.2.1 Généralités
Il convient que l’organisme détermine comment administrer le plan de sûreté. Cela inclut la prise en
compte des aspects suivants:
— objectifs de sûreté (voir 5.2.2);
— domaine d’application du plan de sûreté (voir 5.2.3);
— direction (voir 5.2.4);
— impact réglementaire et juridique (voir 5.2.5);
— rôles, imputabilités et responsabilités (voir 5.2.6);
— communication (voir 5.2.7);
— information documentée (voir 5.2.8);
— établissement des rapports (voir 5.2.9);
— évaluation (voir 5.2.10);
— amélioration continue (voir 5.2.11).
5.2.2 Objectifs de sûreté
Il convient que l’organisme définisse les objectifs sûreté du plan, prenant en compte:
— les objectifs et priorités pour une activité étendue;
— le cadre de la sûreté préventive;
— les politiques de sûreté associées;
— le risque de sûreté.
5.2.3 Domaine d’application du plan de sûreté
Il convient que l’organisme détermine les limites et l’applicabilité du plan de sûreté afin d’établir son
domaine d’application.
Cela inclut le fait de décider si le plan de sûreté s’applique à tout ou partie de l’organisme ou s’il ne
s’applique qu’à une durée spécifique d’un projet.
Il convient que le domaine d’application du plan de sûreté tienne compte de tout autre processus de
management du risque organisationnel concernant les violations ou les menaces pour la sécurité.
Il convient que le domaine d’ap
...